Error en la API de Twitter expuso a miles de usuarios

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Los problemas de seguridad y privacidad con las API y los desarrolladores de aplicaciones de terceros son algo que no trata solo Facebook.

Un error en la API de Twitter inesperadamente expuso los mensajes directos (DM) de algunos usuarios y tweets resguardados a desarrolladores de aplicaciones de terceros no autorizados que no debían obtenerlos, según se informó en Twitter en su blog de desarrolladores la semana pasada.

¿Qué sucedió?

Twitter encontró un error en su API de actividad de cuenta (AAAPI), que es utilizada por los desarrolladores registrados para crear herramientas que respalden las comunicaciones comerciales con sus clientes, y el error podría haber expuesto las interacciones de esos clientes.

El error de Twitter AAAPI estuvo presente durante más de un año, desde mayo de 2017 hasta el 10 de septiembre, cuando la plataforma de microblogging descubrió el problema y lo parchó “a las pocas horas de descubrirlo”.

En otras palabras, el error estuvo activo en la plataforma durante casi 16 meses.

“Si interactuaba con una cuenta o empresa en Twitter que dependía de un desarrollador que utilizaba la AAAPI para proporcionar sus servicios, es posible que el error haya provocado que algunas de estas interacciones se envíen involuntariamente a otro desarrollador registrado”, explica Twitter.

¿Cuál fue el impacto?

El error anida en la forma en que funciona la AAAPI de Twitter.

Si un usuario interactúa con una cuenta o empresa en Twitter que usó la AAAPI, el error “involuntariamente” envía uno o más de sus DM y tweets protegidos a los desarrolladores incorrectos en lugar de a los autorizados.

“De acuerdo con nuestro análisis inicial, una serie compleja de circunstancias técnicas tuvo que ocurrir al mismo tiempo para que este error haya resultado en que la información de la cuenta se comparta definitivamente con la fuente incorrecta”, explicó Twitter.

“En algunos casos esto puede haber incluido ciertos mensajes directos o tweets protegidos, por ejemplo, un mensaje directo con una aerolínea que haya autorizado a un desarrollador AAAPI. De manera similar, si su empresa autorizó a un desarrollador que usa AAAPI para acceder a su cuenta, el error puede tener impactó sus datos de actividad por error “.

¿Cuál fue el universo de víctimas?

Aunque Twitter dice que aún no ha descubierto ninguna evidencia de que un desarrollador equivocado haya recibido DM o tweets protegidos, la compañía también “no puede confirmar de manera concluyente que no sucedió”.

Por lo tanto, está notificando a las personas potencialmente afectadas, que, de acuerdo con Twitter, son menos del 1 por ciento. Como Twitter ahora tiene más de 336 millones de usuarios activos mensuales, el error podría afectar a más de 3 millones de personas.

 

Por Josep Verdura – Analista de Seguridad de Vintegris